Table of Contents

Inleiding:

Windows 10 en Windows 11 zijn invasieve en onveilige besturingssystemen uit de doos. Organisaties zoals PrivacyTools.io , Microsoft , Cyber.mil , the Department of Defense , and the National Security Agency hebben configuratiewijzigingen aanbevolen om het besturingssysteem te vergrendelen, te verharden en te beveiligen. Deze veranderingen bestrijken een breed scala aan mitigaties, waaronder het blokkeren van telemetrie, macro’s, het verwijderen van bloatware, en het voorkomen van vele digitale en fysieke aanvallen op een systeem. Dit script is bedoeld om de door die organisaties aanbevolen configuraties te automatiseren.

Opmerkingen, waarschuwingen en overwegingen:

WAARSCHUWING:

Dit script zou voor de meeste, zo niet alle, systemen zonder problemen moeten werken. Hoewel @SimeonOnSecurity creates, reviews, and tests each repo intensively, we can not test every possible configuration nor does @SimeonOnSecurity take any responsibility for breaking your system. If something goes wrong, be prepared to submit an issue

  • Dit script is ontworpen voor gebruik in hoofdzakelijk persoonlijke omgevingen. Met dat in gedachten zijn bepaalde bedrijfsconfiguratie-instellingen niet geïmplementeerd. Dit script is niet ontworpen om een systeem 100% conform te maken. Het moet eerder worden gebruikt als een opstapje om de meeste, zo niet alle, configuratiewijzigingen te voltooien die met een script kunnen worden uitgevoerd, terwijl kwesties als branding en banners, die zelfs in een verharde omgeving voor persoonlijk gebruik niet moeten worden geïmplementeerd, worden overgeslagen.
  • Dit script is zo ontworpen dat de optimalisaties, in tegenstelling tot sommige andere scripts, de kernfuncties van Windows niet verbreken.
  • Functies zoals Windows Update, Windows Defender, de Windows Store en Cortona zijn beperkt, maar zijn niet in een disfunctionele staat zoals de meeste andere Windows 10 Privacy scripts.
  • Als u een geminimaliseerd script zoekt dat alleen gericht is op commerciële omgevingen, bekijk dan dit GitHub Repository

Voer dit script niet uit als u niet begrijpt wat het doet. Het is uw verantwoordelijkheid het script te controleren en te testen voordat u het uitvoert.

HET VOLGENDE ZAL BIJVOORBEELD BREKEN ALS U DIT UITVOERT ZONDER PREVENTIEVE MAATREGELEN TE NEMEN:

  • Het gebruik van de standaard administrator account genaamd “Administrator” is uitgeschakeld en hernoemd per DoD STIG

    • Is niet van toepassing op de standaardaccount die is aangemaakt, maar wel op het gebruik van de standaardbeheerdersaccount die vaak wordt aangetroffen op Enterprise, IOT en Windows Server-versies.

    • Maak een nieuwe account aan onder Computerbeheer en stel deze desgewenst in als beheerder. Kopieer vervolgens de inhoud van de vorige gebruikersmap naar de nieuwe nadat u zich voor het eerst bij de nieuwe gebruiker hebt aangemeld om dit te omzeilen voordat u het script uitvoert.

  • Aanmelden met een Microsoft-account is uitgeschakeld volgens de DoD STIG.

    • Wanneer u probeert veilig en privé te zijn, wordt het aanmelden bij uw lokale account via een Microsoft-account afgeraden. Dit wordt afgedwongen door deze repo.

    • Maak een nieuw account aan onder Computerbeheer en stel het desgewenst in als beheerder. Kopieer vervolgens de inhoud van de vorige gebruikersmap naar de nieuwe nadat u zich voor de eerste keer hebt aangemeld bij de nieuwe gebruiker om dit te omzeilen voordat u het script uitvoert.

  • Account-PIN’s zijn uitgeschakeld per DoD STIG

    • Pincodes zijn onveilig als ze alleen worden gebruikt in plaats van een wachtwoord en kunnen gemakkelijk worden omzeild in enkele uren of mogelijk zelfs seconden of minuten.

    • Verwijder de pincode van de account en/of meld u aan met een wachtwoord na het uitvoeren van het script.

  • De standaardinstellingen van Bitlocker zijn gewijzigd en verhard als gevolg van DoD STIG.

    • Door de manier waarop bitlocker is geïmplementeerd, zullen deze wijzigingen en als u bitlocker al hebt ingeschakeld, de bitlocker-implementatie verbreken.

    • Schakel bitlocker uit, voer het script uit en schakel bitlocker opnieuw in om dit probleem te omzeilen.

Vereisten:

Aanbevolen leesmateriaal:

- System Guard Secure Launch - System Guard Root of Trust - Hardware-based Isolation - Memory integrity - Windows Defender Application Guard - Windows Defender Credential Guard

Toevoegingen, opvallende veranderingen en bugfixes:

Dit script voegt instellingen toe, verwijdert ze en verandert ze op uw systeem. Bekijk het script voordat u het uitvoert.

Browsers:

  • Voor browsers worden extra uitbreidingen geïnstalleerd om de privacy en veiligheid te bevorderen.
    • Zie here voor aanvullende informatie.
  • Als gevolg van de DoD STIG’s die zijn geïmplementeerd voor browsers, worden extensiebeheer en andere bedrijfsinstellingen ingesteld. Voor instructies over hoe u deze opties kunt zien, moet u de onderstaande GPO-instructies raadplegen.

Powershell-modules:

  • Om te helpen bij het automatiseren van Windows Updates is de PowerShell PSWindowsUpdate module wordt toegevoegd aan uw systeem.

Microsoft Account, Store of Xbox Services repareren:

Dit komt omdat we het aanmelden bij Microsoft-accounts blokkeren. De telemetrie en identiteitsassociatie van Microsoft wordt afgekeurd. Als u deze diensten toch wilt gebruiken, zie dan de volgende issue tickets voor de oplossing:

Beleid in lokaal groepsbeleid achteraf bewerken:

Als u een instelling moet aanpassen of wijzigen, zijn deze hoogstwaarschijnlijk configureerbaar via GPO:

  • Importeer de ADMX-beleidsdefinities van deze repo in C:\windows_PolicyDefinitions op het systeem dat je probeert te wijzigen.

  • Openengpedit.msc op het systeem dat je probeert aan te passen.

Een lijst van scripts en gereedschappen die deze collectie gebruikt:

Eerste partij:

- .NET-STIG-Script - Automate-Sysmon - FireFox-STIG-Script - JAVA-STIG-Script - Standalone-Windows-STIG-Script - Windows-Defender-STIG-Script - Windows-Optimize-Debloat

Derde partij:

- Cyber.mil - Group Policy Objects - Microsoft Security Compliance Toolkit 1.0 - Microsoft Sysinternals - Sysmon

STIGS/SRG’s toegepast:

- Adobe Acrobat Pro DC Continuous V2R1 - Adobe Acrobat Reader DC Continuous V2R1 - Firefox V5R2 - Google Chrome V2R4 - Internet Explorer 11 V1R19 - Microsoft Edge V1R2 - Microsoft .Net Framework 4 V1R9 - Microsoft Office 2013 V2R1 - Microsoft Office 2016 V2R1 - Microsoft Office 2019/Office 365 Pro Plus V2R3 - Microsoft OneDrive STIG V2R1 - Oracle JRE 8 V1R5 - Windows 10 V2R2 - Windows Defender Antivirus V2R2 - Windows Firewall V1R7

Aanvullende configuraties werden overwogen van:

- BuiltByBel - PrivateZilla - CERT - IE Scripting Engine Memory Corruption - Dirteam - SSL Hardening - MelodysTweaks - Basic Tweaks - Microsoft - Managing Windows 10 Telemetry and Callbacks - Microsoft - Reduce attack surfaces with attack surface reduction rules - Microsoft - Recommended block rules - Microsoft - Recommended driver block rules - Microsoft - Specture and Meltdown Mitigations - Microsoft - Windows 10 Privacy - Microsoft - Windows 10 VDI Recomendations - Microsoft - Windows Defender Application Control - Mirinsoft - SharpApp - Mirinsoft - debotnet - NSACyber - Application Whitelisting Using Microsoft AppLocker - NSACyber - Bitlocker Guidance - NSACyber - Hardware-and-Firmware-Security-Guidance - NSACyber - Windows Secure Host Baseline - UnderGroundWires - Privacy.S**Y - Sycnex - Windows10Debloater - The-Virtual-Desktop-Team - Virtual-Desktop-Optimization-Tool - TheVDIGuys - Windows 10 VDI Optimize - VectorBCO - windows-path-enumerate - W4H4WK - Debloat Windows 10 - Whonix - Disable TCP Timestamps

Hoe voer je het script uit:

GUI - Geleide installatie:

Download de laatste versie here kies de gewenste opties en druk op uitvoeren.

Geautomatiseerde installatie:

Gebruik deze one-liner om automatisch alle ondersteunende bestanden te downloaden, uit te pakken en de laatste versie van het script uit te voeren.

iwr -useb 'https://simeononsecurity.com/scripts/windowsoptimizeandharden.ps1'|iex

Handmatige installatie:

Indien handmatig gedownload, moet het script worden gestart vanuit een administratieve powershell in de directory die alle bestanden van de GitHub Repository

Het script “sos-optimize-windows.ps1” bevat verschillende parameters waarmee het optimalisatieproces kan worden aangepast. Elke parameter is een booleaanse waarde die standaard op waar staat als hij niet is opgegeven.

  • cleargpos: Wist de instellingen voor Group Policy Objects.
  • installupdates: Installeert updates op het systeem.
  • adobe: Implementeert de Adobe Acrobat Reader STIGs.
  • firefox: Implementeert de FireFox STIG.
  • chrome: Implementeert de STIG van Google Chrome.
  • IE11: Implementeert de STIG voor Internet Explorer 11.
  • edge: Implementeert de Microsoft Chromium Edge STIG.
  • dotnet: Implementeert de Dot Net 4 STIG.
  • office: Implementeert de Microsoft Office-gerelateerde STIG’s.
  • onedrive: Implementeert de Onedrive STIG’s.
  • java: Implementeert de Oracle Java JRE 8 STIG.
  • windows: Implementeert de Windows Desktop STIG’s.
  • defender: Implementeert de Windows Defender STIG.
  • firewall: Implementeert de Windows Firewall STIG.
  • Beperkingen**: Implementeert algemene best practice mitigaties.
  • defenderhardening: Implementeert en verstevigt Windows Defender voorbij de STIG-vereisten.
  • pshardening: Implementeert PowerShell-verharding en logboekregistratie.
  • sslhardening: Implementeert SSL-verharding.
  • smbhardening: Verhardt SMB client en server instellingen.
  • applockerhardening: Installeert en configureert Applocker (alleen in auditmodus).
  • bitlockerhardening: Verhardt Bitlocker Implementatie.
  • removebloatware: Verwijdert onnodige programma’s en functies van het systeem.
  • disabletelemetry: Gegevensverzameling en telemetrie uitschakelen.
  • privacy: Brengt wijzigingen aan om de privacy te verbeteren.
  • imagecleanup: Ruimt onnodige bestanden op van het systeem.
  • nessusPID: Lost ongequoteerde systeemstrings in het pad op.
  • sysmon: Installeert en configureert sysmon om de controlemogelijkheden te verbeteren.
  • schijfcompressie: Comprimeert de systeemschijf.
  • emet: Implementeert STIG vereisten en hardening voor EMET op Windows 7 systemen.
  • updatemanagement: Verandert de manier waarop updates worden beheerd en verbeterd op het systeem.
  • deviceguard: Maakt Device Guard Hardening mogelijk.
  • sosbrowsers: Optimaliseert de webbrowsers van het systeem.

Een voorbeeld van hoe het script met specifieke parameters kan worden gestart is:

Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Force
Get-ChildItem -Recurse *.ps1 | Unblock-File
powershell.exe -ExecutionPolicy ByPass -File .\sos-optimize-windows.ps1 -cleargpos:$false -installupdates:$false